Danilka

Еще один троянец-вымогатель - теперь в MBR

Опубликовал Danilka,

В этой теме 8 сообщений

Опубликовано

Ну вот теперь осталось дождаться перешивок биоса. Чтоб вымогал $$ сразу после POST-а :D Хотя можно и проще блокировать загрузку с диска.... кстати интересно как там дела у касперского с их запатентованным аппаратным антивирусом :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано
считает значение и сравнивает его с хэшем размером в 2 байта:

.......

К счастью, жесткий диск или файлы не шифруются

.......

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда

Да это разве "Охренеть" :) Опять школьники балуются. :) Вот чего с Gpcode.ax делать?...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано
кстати интересно как там дела у касперского с их запатентованным аппаратным антивирусом :)

Для того, чтобы вылечить это аппаратный антивирус не нужен. Старый-добрый fixmbr.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано
Для того, чтобы вылечить это аппаратный антивирус не нужен. Старый-добрый fixmbr.

Это как бы в консоль еще попасть нужно, что... несколько затруднено в данном случае, я лично предпочитаю мелкософтовский bootsect.exe. А про аппаратный антивирус просто вспомнилось глядя на черный скриншот, даже не знаю почему :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано
Это как бы в консоль еще попасть нужно, что... несколько затруднено в данном случае, я лично предпочитаю мелкософтовский bootsect.exe. А про аппаратный антивирус просто вспомнилось глядя на черный скриншот, даже не знаю почему :)

Не вижу сложностей загрузиться с Windows Repair.

Как выяснилось данный локер не оставляет таблицу разделов (она сохранена лишь в копии MBR), поэтому fixmbr не поможет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано

Кидисы дорвались до мбр ха.

Ну вот теперь осталось дождаться перешивок биоса. Чтоб вымогал $$ сразу после POST-а

Долго же еще ждать с такими то буткитами и их установщиками. Бедная офикла.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Перейти к списку тем Общий форум по информационной безопасности
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS